高度なインフォスティーラーを使用したステルス型フィッシング攻撃によるデータ流出
2024年8月14日、Saravanan Mohankumar フィッシング攻撃のなかに、広範な機密情報を流出させるように設計された高度でステルス的な手法を特徴とするタイプがあることをバラクーダの脅威アナリストが確認しています。 この手口には、大半のフォルダーから PDF ファイルやディレクトリを収集できる高度な情報窃取マルウェアが関与しており、セッションクッキーや保存されたクレジットカード情報、ビットコイン関連の拡張機能、Web 履歴などのブラウザー情報を収集できます。これらの情報をZIP形式の添付ファイルとして、攻撃者はリモートのメールアカウントに送信します。 これほど広範な情報を収集し、流出させるように設計されたインフォスティーラーは珍しいといえます。情報窃取は通常、保存されたブラウザーのパスワードや、時には暗号通貨のウォレットを探し出すことに限定され、それ以外にはほとんど手をつけないからです。 バラクーダのリサーチャーによると、この手の高度なステルス型フィッシング攻撃は次のように展開します。 ステップ1:フィッシングメール バラクーダが確認したインシデントでは、この攻撃は添付された発注書を開くように受信者に促すフィッシングメールから始まります。メールの文面には、いくつかの基本的な文法エラーが含まれています。 メールはすべて同じアドレスyunkun[@]saadelbin.com から送信されているようで、会社名と連絡先はすべて架空のようです。 このインシデントの添付ファイルは、「P.O.7z」という名前が付いていて、ISO ディスクイメージファイルが含まれています。ISO ファイルとは、CD や DVD などの光ディスクにあるデータと同一のイメージをもつアーカイブファイルです。 ISO ディスクイメージファイルの中には、HTA(HTMLアプリケーション)ファイルがあります。HTA とは、Microsoft Windows が、Web ブラウザーではなくデスクトップ上で動作する Web 技術を使用したアプリケーションを作成するためのファイルの一種です。つまり、Web ブラウザーのセキュリティ機能に制限されないため、セキュリティリスクとなる可能性があります。 HTA ファイルを実行すると、一連の悪意のあるペイロードがダウンロードされ、実行されます。 ステップ2:悪意のあるペイロード HTA ファイルが実行されると、侵害されたアカウントにリモートサーバーから難読化された JavaScript ファイルがダウンロードされ、そのファイルが実行されます。 この JavaScript ファイルは、PowerShell ファイルをダウンロードし、それをアカウントの Temp フォルダーにドロップして実行します。 PowerShell スクリプトは、リモートサーバーから ZIP ファイルをダウンロードし、それも Temp フォルダーにドロップします。 この ZIP ファイルを解凍すると、PythonTemp フォルダーが出てきます。 このフォルダーから、Python スクリプトであるインフォスティーラー・マルウェアが実行されます。その後、Python ファイルは3秒間スリープし、Python プロセスがまだ実行中であれば終了させ、PythonTemp フォルダー内のすべてのファイルを削除してから、自身を削除します。 Python スクリプトは難読化され、暗号化されているため、セキュリティアナリストが脅威をリバースエンジニアリングすることは難しいのです。 第一レベルのデコーディング スクリプトはさまざまなレベルの解読と復号を経て、最終的なコードにたどり着きます。 スクリプトが最終的なペイロードを解読 ステップ3:データ流出 大半のフィッシング攻撃はデータ窃取と関連しており、攻撃者は認証情報や金融口座情報などを盗み出そうとします。データ流出も窃盗の一種ですが、こちらはしばしばランサムウェアやネットワークから情報を積極的に削除することに関連しています。たいてい、ツールやエクスプロイトを使用して大量の情報を手に入れようとします。 こうしたステルス型フィッシング攻撃で見られるデータ流出は、一般的なインフォスティーラーよりも幅広い情報を収集し、流出させるように設計された高度なインフォステーラー・マルウェアによって実行されるケースが多くなっています。 Python 情報窃取マルウェア この攻撃で使用された情報窃取者の能力は以下の通りでした。 ブラウザー情報の収集 このマルウェアはブラウザーのプロセスを停止させ、そのマスターキーを収集するように設計されています。Chrome、Edge、Yandex、Brave のマスターキーを収集できます。 ブラウザーのディレクトリからセッションクッキー、Web ブラウザー上で保存されたパスワード、保存されたクレジットカード情報、Web やダウンロードの履歴、オートフィル情報を収集できます。 MetaMask、BNB...